In de plugin ‘Ultimate Member’ is een kritische fout ontdekt. De plugin staat op ongeveer 200.000 websites. De kwetsbaarheid welke is ontdekt door het Wordfence Threat Intelligence Team wordt actief gebruikt.
Ultimate Member is een plug-in die is ontworpen om eenvoudige registratie en accountbeheer toe te voegen aan WordPress-sites. Een van de functies is een registratieformulier dat gebruikers kunnen gebruiken om zich aan te melden voor een account op een WordPress-site waarop de plug-in draait. Helaas maakt dit formulier het voor gebruikers mogelijk om willekeurige gebruikersmetawaarden voor hun account te registreren en in te stellen.
Hoewel de plug-in een vooraf gedefinieerde lijst met verboden sleutels heeft, die een gebruiker niet zou moeten kunnen bijwerken, zijn er triviale manieren om de ingestelde filters te omzeilen, zoals het gebruik van verschillende hoofdletters, schuine strepen en tekencodering in een geleverde metasleutelwaarde in kwetsbare versies van de plug-in.
Dit maakt het voor aanvallers mogelijk om de metawaarde van de gebruiker wp_capabilities, die de rol van de gebruiker op de site bepaalt, in te stellen op ‘beheerder’. Dit geeft de aanvaller volledige toegang tot de kwetsbare site wanneer deze met succes wordt uitgebuit.
Hoewel onze aanvalsgegevens op dit moment beperkt zijn, hebben we de volgende indicatoren van een aanval van een afzonderlijke reeds bestaande firewallregel die deze kwetsbaarheid gedeeltelijk afdekte. We raden aan een volledige malwarescan uit te voeren om ervoor te zorgen dat uw site niet wordt aangetast als u Ultimate Member gebruikt, en let op de volgende indicatoren van een inbreuk.
Het belangrijkste waar u op moet letten, zijn nieuwe gebruikersaccounts die zijn gemaakt met beheerdersrechten.
We zien de volgende gebruikersnamen in onze aanvalsgegevens:
- wpenginer
- wpadmins
- wpengine_backup
- se_brutal
- segs_brutal
Krijg toegang tot logboekvermeldingen die laten zien dat aanvallers de Ultimate Member-registratiepagina van een gecompromitteerde site bereiken, die standaard is ingesteld op het /register-pad.
Zoek naar de volgende IP-adressen in de toegangslogboeken van een site of in de live verkeersfeed van de Wordfence-plug-in.
- 146.70.189.245
- 103.187.5.128
- 103.30.11.160
- 103.30.11.146
- 172.70.147.176
Het volgende domein is gekoppeld aan e-mailadressen van gebruikersaccounts.
exelica. Com
Controleer op plug-ins en thema’s die mogelijk niet eerder zijn geïnstalleerd.
Als uw site is gecompromitteerd door deze aanval, raden wij aan een professionele site-schoonmaakservices.